Categories: Economia

Desenvolvedores divulgam três vulnerabilidades no Bitcoin Core

Desenvolvedores do Bitcoin Core divulgaram três grandes vulnerabilidades no software na última terça-feira (8), sendo duas de médio e uma de alto risco. Segundo a nota, todas versões anteriores à 25.0 estão afetadas.

A revelação acontece uma semana após a equipe disponibilizar a versão 28.0 para download, onde outros bugs foram corrigidos. Portanto, espera-se que no futuro também surjam detalhes sobre vulnerabilidades encontradas nas versões 25, 26 e 27.

Segundo dados compilados pelo site ClarkMoody, apenas 2,2% da rede já atualizou seu node para a versão mais recente. A maioria dos usuários está rodando a versão 27.1, representando 31,4% da rede.

Uso do Bitcoin Core por versões. Fonte: ClarkMoody.

Novas vulnerabilidades do Bitcoin são divulgadas

Em setembro, desenvolvedores já haviam divulgado uma vulnerabilidade crítica que afetava todas as versões anteriores à 24.0.1, representando uma estimativa de 19,6% dos nodes.

Já nesta semana, três novas vulnerabilidades foram apresentadas, agora afetando versões anteriores a 25.0. A primeira delas é considerada de alta gravidade.

“Antes da versão 25.0 do Bitcoin Core, um invasor poderia derrubar remotamente nós do Bitcoin Core ao acionar uma asserção na lógica de processamento da mensagem blocktxn.”

A falha teria sido descoberta em outubro de 2022, corrigida em janeiro de 2023 e então a versão 25.0 foi lançada em maio daquele mesmo ano.

Dando mais detalhes, os desenvolvedores nota que o Bitcoin Core tenta reconstruir o bloco anunciado usando as transações de sua própria mempool e outras transações disponíveis, mas, em caso de falha, ele solicita essas informações a um par, momento em que um ataque seria possível.

“Um invasor não precisa contar com a sorte ao acionar uma colisão, pois a lógica de tratamento de colisões pode ser facilmente desencadeada, simplesmente incluindo transações na mensagem blocktxn que não estão comprometidas na raiz Merkle do bloco”, explica o texto.

As outras duas vulnerabilidades foram apresentadas como de gravidade média. A primeira é um ataque de negação de serviço (DoS), tendo afetado a rede em maio de 2023.

“Antes da versão 25.0 do Bitcoin Core, os conjuntos m_tx_inventory_to_send por par poderiam crescer demais, a ponto de a ordenação desses conjuntos ao construir mensagens de inventário afetar a capacidade do nó de se comunicar com seus pares. Condições de rede no início de maio de 2023 desencadearam esse ataque DoS e afetaram a propagação de blocos e transações.”

“No início de maio de 2023, o aumento da atividade na rede fez com que os conjuntos crescessem mais rápido do que estavam sendo processados, resultando em um tempo significativo gasto na ordenação desses conjuntos na thread de comunicação P2P”, aponta o texto. “Além disso, pares que apenas escutam os anúncios de transações, mas nunca anunciam nada (comumente chamados de “nós espiões”), amplificaram o problema ao ter conjuntos enormes (com transações que já conhecem), que demoravam muito para ser ordenados.”

A falha foi corrigida 9 dias após ser encontrada e a versão 25.0, que corrigiu o problema, foi lançada naquele mesmo mês.

Já a última vulnerabilidade está ligada a propagação de blocos, podendo interferir no estado da rede. Encontrado em maio, o bug foi corrigido em apenas dois dias.

“Antes da versão 25.0 do Bitcoin Core, um par que enviasse blocos corrompidos poderia limpar o estado de download de outros pares que também anunciaram o bloco para nós, o que prejudicaria a propagação do bloco.”

Bitcoin Core v28.0 já está disponível

Para aqueles que gostam de rodar a versão mais recente do Bitcoin Core, a v.28.0 já está disponível para download desde o dia 2 de outubro.

Dentre os destaques está a testnet4/BIP94, que planeja abandonar o suporte à rede de testes antiga que já está rodando há 13 anos e suas recompensas de mineração estão em apenas ~0,014 TBTC por bloco, dificultando a distribuição dessas moedas.

Além disso também há uma mudança no diretório padrão do Bitcoin Core, passando para a pasta C:UsersUsernameAppDataLocalBitcoin, ao invés de Roaming, bem como suporte ao JSON-RPC 2.0 e a remoção do libbitcoinconsensus.

Seguindo também aparecem mudanças na rede e conexões P2P, mudanças na política da mempool, RPCs atualizados, REST APIs atualizados, e na própria carteira. O texto completo com todas mudanças pode ser encontrado no anúncio oficial do Bitcoin Core.

Fonte: Desenvolvedores divulgam três vulnerabilidades no Bitcoin Core

Veja mais notícias sobre Bitcoin. Siga o Livecoins no Facebook, Twitter, Instagram e YouTube.

Share
Published by

Recent Posts

Homem é preso suspeito de matar e enterrar cinco cachorros em Limeira, diz Polícia Militar

Caso ocorreu nesta quinta-feira (21), no bairro Ernesto Kuhl. Os cães eram da mãe do…

43 minutos ago

Dez suspeitos são detidos durante operação contra tráfico de drogas no interior do MA

Os agentes saíram para cumprir 11 mandados de busca e apreensão nas zonas rural e…

43 minutos ago

Operação cumpre 175 mandados no RS, SC e PR contra esquema chefiado de dentro de presídio que movimentou R$ 32 milhões, diz MP

Cerca de 700 agentes foram mobilizados para cumprir as ordens judiciais. No estado, são 152…

43 minutos ago

Arquidiocese de Natal nomeia e transfere 37 padres para novas funções; confira

Sacerdotes devem assumir novas funções até fevereiro de 2025, segundo decreto assinado pelo Arcebispo. Catedral…

43 minutos ago

Festa da Laranja, Casa Rosa, Rolê do Vinil, CasaArt e mais; confira programação no Agreste de PE

Programação na região tem início nesta sexta-feira (22) com a Festa da Laranja em Sairé.…

44 minutos ago